<div dir="auto"><div><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Sun, Mar 31, 2019, 4:47 PM Richard Laager via devel <<a href="mailto:devel@ntpsec.org">devel@ntpsec.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 3/31/19 5:07 AM, Achim Gratz via devel wrote:<br>
> So yes, injecting the trust anchor(s) to use for a specific set of<br>
> NTS-KE would be the easier option.<br>
<br>
How about this:<br>
<br>
1) Add a root=file (or dir?) option. This overrides the allowed roots<br>
for that association. Only the root(s) in that file are allowed for that<br>
association, regardless of what is normally on the system. So this can<br>
be used to restrict (sort of like pinning, but only for roots), but<br>
assuming we implement pinning, it would be mainly intended to allow a<br>
particular root that is not trusted generally.<br>
<br>
This option would allow Gary's scenario to validate, without needing to<br>
trust that root system-wide. He would presumably then eliminate "noval"<br>
from that configuration line.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">According to the ntp.conf man page there already is a ca option (unimplemented) for that. I did not remember seeing that detail earlier. </div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
</blockquote></div></div></div>